近日�����,國(guó)家衛(wèi)生健康委辦公廳發(fā)布《醫(yī)院智慧管理分級(jí)評(píng)估標(biāo)準(zhǔn)體系(試行)》(國(guó)衛(wèi)辦醫(yī)函【2021】86號(hào)),為后疫情時(shí)代我國(guó)廣大醫(yī)療機(jī)構(gòu)進(jìn)行“三位一體”的智慧醫(yī)院建設(shè)提出進(jìn)一步政策指引和要求��。
《關(guān)于進(jìn)一步完善預(yù)約診療制度加強(qiáng)智慧醫(yī)院建設(shè)的通知》(國(guó)衛(wèi)辦醫(yī)函【2020】405號(hào))明確提出要建立醫(yī)療��、服務(wù)���、管理“三位一體”的智慧醫(yī)院系統(tǒng)�����。第一是面向醫(yī)務(wù)人員的“智慧醫(yī)療”:開(kāi)展以電子病歷為核心的信息化建設(shè)�,包括電子病歷���、影像�����、檢驗(yàn)系統(tǒng)等多系統(tǒng)間的互聯(lián)互通��,《關(guān)于印發(fā)電子病歷系統(tǒng)應(yīng)用水平分級(jí)評(píng)價(jià)管理辦法(試行)及評(píng)價(jià)標(biāo)準(zhǔn)(試行)的通知》(國(guó)衛(wèi)辦醫(yī)函【2018】1079號(hào))將醫(yī)院電子病歷系統(tǒng)應(yīng)用水平劃分為9個(gè)等級(jí)����;第二是面向醫(yī)院的“智慧管理”:主要為提升醫(yī)院管理精細(xì)化、智能化水平���,《醫(yī)院智慧管理分級(jí)評(píng)估標(biāo)準(zhǔn)體系(試行)》(國(guó)衛(wèi)辦醫(yī)函【2021】86號(hào))從功能和效果兩個(gè)方面進(jìn)行評(píng)估���,評(píng)估結(jié)果分為0級(jí)至5級(jí);第三是面向患者的“智慧服務(wù)”:主要通過(guò)預(yù)約診療����、信息體系、自助一體機(jī)等�,提升患者就醫(yī)體驗(yàn)�����。
標(biāo)準(zhǔn)解讀
本次發(fā)布的標(biāo)準(zhǔn)從醫(yī)院智慧管理的功能和效果兩個(gè)方面進(jìn)行評(píng)估����,網(wǎng)絡(luò)安全管理作為獨(dú)立的業(yè)務(wù)項(xiàng)目進(jìn)行評(píng)估,評(píng)估要點(diǎn)包括基礎(chǔ)設(shè)施��、安全管理��、安全技術(shù)和安全監(jiān)測(cè)����。評(píng)估結(jié)果分為0級(jí)至5級(jí)�,不同級(jí)別的安全要求及對(duì)應(yīng)解讀措施如下:
無(wú)基礎(chǔ)設(shè)施與網(wǎng)絡(luò)安全管理要求����。1級(jí)評(píng)估要求
(1) 具有相關(guān)計(jì)算機(jī)、信息系統(tǒng)��、信息安全管理制度�����;(2) 醫(yī)院內(nèi)部有局域網(wǎng)���,部門(mén)間網(wǎng)絡(luò)互相聯(lián)通���;(3) 客戶端及重要服務(wù)器具備防病毒措施。
(1) 深入梳理醫(yī)院安全業(yè)務(wù)���,對(duì)醫(yī)院的安全工作與安全措施進(jìn)行整體規(guī)劃�����、設(shè)計(jì)與評(píng)估���,編寫(xiě)形成相關(guān)的安全制度�、規(guī)范��、操作文檔���;
(2) 對(duì)醫(yī)院整體網(wǎng)絡(luò)進(jìn)行分區(qū)分域設(shè)計(jì),不同區(qū)域間進(jìn)行網(wǎng)絡(luò)安全隔離�,對(duì)特別重要的網(wǎng)絡(luò)區(qū)域間采用物理安全隔離措施;
(3) 至少采用終端防病毒措施�����,建議綜合采取終端防病毒和網(wǎng)絡(luò)防病毒協(xié)同部署。
(1)具有網(wǎng)絡(luò)安全領(lǐng)導(dǎo)組織機(jī)構(gòu)����,負(fù)責(zé)統(tǒng)籌規(guī)劃醫(yī)院網(wǎng)絡(luò)安全相關(guān)事宜���;
(2)具有獨(dú)立的信息機(jī)房����,主要服務(wù)器、存儲(chǔ)等設(shè)備集中部署在信息機(jī)房?jī)?nèi)�����;
(3)管理信息系統(tǒng)具備清晰的權(quán)限管理�����,能夠?qū)崿F(xiàn)訪問(wèn)控制到個(gè)人的細(xì)粒度管理���。
(1)成立以醫(yī)院院長(zhǎng)為核心的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組,具體工作由醫(yī)院信息科牽頭施行�,對(duì)醫(yī)院網(wǎng)絡(luò)安全建設(shè)有中長(zhǎng)期規(guī)劃,每年有固定的網(wǎng)絡(luò)安全建設(shè)預(yù)算��;
(2)根據(jù)《全國(guó)醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范(試行)》要求進(jìn)行機(jī)房及相關(guān)軟硬件系統(tǒng)建設(shè)����。
(1)信息機(jī)房有高可靠不間斷電源�����、空調(diào)����,具備專門(mén)的消防設(shè)施��;
(2)全部投入應(yīng)用的管理信息系統(tǒng)列入管理清單���,全部信息系統(tǒng)完成等級(jí)保護(hù)定級(jí)、備案����,定為三級(jí)及以上的信息系統(tǒng)每年進(jìn)行等保測(cè)評(píng);
(3)重要管理信息系統(tǒng)的關(guān)鍵網(wǎng)絡(luò)設(shè)備����、網(wǎng)絡(luò)鏈路采用冗余設(shè)計(jì);
(4)重要管理信息系統(tǒng)具備應(yīng)急預(yù)案并定期進(jìn)行演練��,當(dāng)出現(xiàn)系統(tǒng)故障時(shí)�����,可恢復(fù)關(guān)鍵業(yè)務(wù);
(5)實(shí)現(xiàn)實(shí)名制上網(wǎng)管理�、能夠?qū)徲?jì)客戶端的上網(wǎng)行為。
(1)物理機(jī)房滿足等保三級(jí)要求�;
(2)業(yè)務(wù)系統(tǒng)滿足等保三級(jí)要求����;
(3)重要系統(tǒng)路由交換設(shè)備堆疊部署���、應(yīng)用安全網(wǎng)關(guān)設(shè)備主備部署��、部署負(fù)載均衡系統(tǒng)對(duì)業(yè)務(wù)系統(tǒng)及網(wǎng)絡(luò)提供高可用保障��、服務(wù)器及網(wǎng)絡(luò)設(shè)備建議選用冗余電源���;
(4)編寫(xiě)應(yīng)急預(yù)案并定期進(jìn)行安全應(yīng)急演練;
(5)互聯(lián)網(wǎng)出口部署上網(wǎng)行為管理系統(tǒng)�����。
(1)具有完整的網(wǎng)絡(luò)安全制度體系�����,包括管理策略����、管理制度、管理規(guī)范����、記錄表單等���;
(2)重要管理信息系統(tǒng)每日至少進(jìn)行一次完整數(shù)據(jù)備份,同時(shí)每年定期進(jìn)行數(shù)據(jù)還原演練��;
(3)管理信息系統(tǒng)實(shí)現(xiàn)分域管理����,系統(tǒng)之間進(jìn)行數(shù)據(jù)交互時(shí)進(jìn)行授權(quán)認(rèn)證;
(4)設(shè)有獨(dú)立的網(wǎng)絡(luò)安全崗位�,定期組織安全培訓(xùn);
(5)明晰信息系統(tǒng)權(quán)限清單并定期梳理信息系統(tǒng)賬戶權(quán)限���。
信息科具有獨(dú)立的網(wǎng)絡(luò)安全崗位��,組建或采用外包的方式選用專業(yè)的安全運(yùn)營(yíng)團(tuán)隊(duì)進(jìn)行醫(yī)院網(wǎng)絡(luò)安全運(yùn)營(yíng)��。明確工作分工�,定期進(jìn)行資產(chǎn)梳理����、互聯(lián)網(wǎng)暴露面檢查等各種專業(yè)安全工作����。
(1)重要數(shù)據(jù)實(shí)現(xiàn)不同地點(diǎn)容災(zāi)(不能在同一建筑物內(nèi))��;
(2)能夠?qū)W(wǎng)絡(luò)設(shè)備、安全管理設(shè)備����、服務(wù)器等硬件的操作行為進(jìn)行審核并記錄,操作行為記錄保存六個(gè)月以上�;
(3)能夠?qū)π畔⑾到y(tǒng)運(yùn)行進(jìn)行實(shí)時(shí)安全監(jiān)測(cè),具備基本網(wǎng)絡(luò)安全態(tài)勢(shì)感知能力���,能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全攻擊行為并進(jìn)行有效處置�;
(4)每年定期對(duì)互聯(lián)網(wǎng)上暴露的信息系統(tǒng)進(jìn)行滲透測(cè)試和漏洞掃描���,發(fā)現(xiàn)的問(wèn)題及時(shí)整改落實(shí)��;
(5)在互聯(lián)網(wǎng)上運(yùn)行的管理信息系統(tǒng)重要數(shù)據(jù)進(jìn)行加密傳輸��、加密存儲(chǔ)��,使用的加密算法符合國(guó)家法律法規(guī)要求���。
(1)對(duì)于只有一個(gè)院區(qū)的醫(yī)院���,在院區(qū)內(nèi)不同建筑物內(nèi)建設(shè)主備數(shù)據(jù)中心。對(duì)于擁有多個(gè)院區(qū)的醫(yī)院���,最好在不同地理區(qū)域的院區(qū)內(nèi)分布設(shè)置主備數(shù)據(jù)中心���,保障重要數(shù)據(jù)不同地點(diǎn)容災(zāi);
(2) 部署日志審計(jì)系統(tǒng)�����,有條件的醫(yī)院可建設(shè)基于大數(shù)據(jù)技術(shù)的安全運(yùn)營(yíng)管理平臺(tái)進(jìn)行統(tǒng)一日志收集分析�;
(3) 部署態(tài)勢(shì)感知系統(tǒng);
(4) 邀請(qǐng)專業(yè)安全廠商專家對(duì)系統(tǒng)定期進(jìn)行滲透測(cè)試���,可部署漏洞掃描系統(tǒng)設(shè)置定期漏洞掃描任務(wù)或邀請(qǐng)專業(yè)安全廠商專家對(duì)系統(tǒng)定期進(jìn)行漏洞掃描�;
(5) 對(duì)互聯(lián)網(wǎng)開(kāi)放的業(yè)務(wù)系統(tǒng)使用HTTPS加密協(xié)議對(duì)外提供服務(wù)����,數(shù)據(jù)存儲(chǔ)采用加密存儲(chǔ)方式。
